每项 Google Cloud 服务都会以不同的粒度级别将数据拆分以进行加密。本文档介绍了服务的客户内容的加密粒度。客户内容是您自行生成或提供给我们的数据,例如存储在 Cloud Storage 中的数据、Compute Engine 使用的磁盘快照,以及 IAM 政策。客户内容不包括客户元数据,例如资源名称。在某些服务中,所有元数据都使用单个 DEK 进行加密。
| 类型 | Google Cloud 服务 | 客户数据加密的粒度(即单个 DEK 所加密的数据大小) |
|---|---|---|
| 存储 | Bigtable | 针对每个数据块(每个表的多个数据块) |
| Datastore | 针对每个数据块(并非每位客户专用) | |
| Firestore | 针对每个数据块(并非每位客户专用) | |
| Spanner | 针对每个数据块(每个表的多个数据块) | |
| Cloud SQL |
|
|
| Cloud Storage | 针对每个数据块(通常为 256 KB - 8 MB) | |
| 计算 | App Engine | 针对每个数据块(并非每位客户专用) App Engine 包括应用代码和应用设置。App Engine 中使用的数据存储在 Datastore、Cloud SQL 或 Cloud Storage 中,具体取决于客户配置。 |
| Cloud Run functions | 针对每个数据块(并非每位客户专用) Cloud Run functions 包括函数代码、设置和事件数据。事件数据存储在 Pub/Sub 中。 |
|
| Compute Engine |
|
|
| Google Cloud 上的 Google Kubernetes Engine | 每个磁盘的多个数据块,例如 Compute Engine | |
| Artifact Registry | 存储在 Cloud Storage 中,针对每个数据块 | |
| 数据分析 | BigQuery | 每个表的一个或多个数据块 |
| Dataflow | 存储在 Cloud Storage 中,针对每个数据块 | |
| Dataproc | 存储在 Cloud Storage 中,针对每个数据块 | |
| Pub/Sub | 每 30 天轮替一次(并非每位客户专用) |
后续步骤
详细了解默认静态加密。